Split-tunnel vpn, no internet

@huloi7 · Регистрация: 09.12.2012

Студворк — интернет-сервис помощи студентам

Здравствйте, не могу настроить split-tunnel local lan (без доступа в интернет) после vpn подключения к asa.
Vpn user подключается к asa и может пинговать только внутренний интерфейс asa, уже измучился, пробовал разные варианты, удалось только получить доступ в интернет без доступа в local lan.
использую cisco vpn client.

вот так выглядел вариант с доступом в интернет без local lan
access-list Local_LAN_Access remark VPN Client Local LAN Access
access-list Local_LAN_Access standard permit 192.168.1.0 255.255.255.0
group-policy vpgroup internal
group-policy vpgroup attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Local_LAN_Access

@MonaxGT · 30.07.2014, 00:06

huloi7, Возьмите в качестве vpn пула другую сеть, к примеру 192.168.2.0/24. Сделайте Policy NAT, что если вы запрашиваете сеть 192.168.1.0 с сорсом 192.168.2.0, то используется адрес 192.168.1.201 (к примеру).

@huloi7 · 30.07.2014, 20:58 **[ТС]**

MonaxGT, сделал как вы сказали. Теперь nat выглядит так:
global (inside) 2 192.168.1.201 netmask 255.255.255.255
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
nat (outside) 2 192.168.2.0 255.255.255.0 outside

в результате vpn клиент получает ip 192.168.2.1, пингует 192.168.1.1, но больше ничего из этой подсети не пингует и по ssh на 192.168.1.1 зайти тоже почему-то не может

@MonaxGT · 30.07.2014, 22:04

huloi7, Я говорил про static policy nat, а не про классический. Попробуйте его

@huloi7 · 31.07.2014, 00:21 **[ТС]**

я, наверно, снова сделал что-то не так.
Хотел добавить строку

static (outside,inside) 192.168.1.201 192.168.2.1 netmask 255.255.255.0, он говорит "global address overlaps with mask".

Возможно я не правильно понимаю это правило static (real_interface,mapped_interface) {mapped_ip | interface} real_ip [netmask mask]
real_interface - интерфейс, из которого мы хотим сделать nat, mapped_interface где хотим оказаться. Я здесь представляю себе пакеты, приходящие из интерфейса outside, вроде как из интернета, поэтому outside, вот не знаю как себе по другому объяснить. По другому не знаю к чему присобачить сеть 192.168.2.0, она же не имеет отдельного интерфейса.
mapped_ip - адрес назначения (192.168.1.201), real_ip - адрес источника (192.168.2.1 netmask 255.255.255.0)

в результате сделал acl: access-list omt extended permit ip host 192.168.2.10 host 192.168.2.15
нарисовал вот это static (outside,inside) 192.168.1.201 access-list omt
и получил как всегда кукиш. Ничего не пингуется кроме 192.168.1.1

sh xlate
1 in use, 1054 most used
Global 192.168.1.201 Local 192.168.2.10

@MonaxGT · 31.07.2014, 10:57

huloi7, 1, почитайте еще раз про acl в полиси NAT.
2. Пишете ACL где указываете в source адрес с которого идете (адрес в пуле VPN), а в dest - адрес на который идете - адрес чего-либо
Пишете Статик, где указываете static (outside,inside) (Адрес который будет является внешним, то есть в вашем случае адрес из сети 192.168.1.0/24) acl ACL

@huloi7 · 01.08.2014, 01:40 **[ТС]**

сделал acl
access-list VPN line 1 extended permit ip host 192.168.2.1(такой адрес получает vpn client, я смотрел в Cisco VPN Client) host 192.168.1.10

и статик нат
static (outside,inside) 192.168.1.10 access-list VPN
пока не получается пинговать 192.168.1.10,

sh access-list показывает, что нет совпадений по этому acl:
access-list VPN line 1 extended permit ip host 192.168.2.1 host 192.168.1.10 (hitcnt=0)

sh xlate
1 in use, 1054 most used
Global 192.168.1.10 Local 192.168.2.1

буду учить мат часть

@MonaxGT · 01.08.2014, 01:52

huloi7, нееееееет
Смотрите, у Вас есть сервер 192.168.1.100, вы хотите с vpn 192.168.2.1 попасть на этот узел и пишите.

acc permit ip 192.168.1.1 /32 192.168.1.100/32

static (out,in) 192.168.1.2 acc

Красный это тот адрес, который будет иметь Ваш vpn хост, если удовлетворяет условию! Пинговаться 1.2 не будет в vpn машины, только с сервера 192.168.1.100 или наоборот.

@LinboG · 01.08.2014, 06:41

Сообщение от MonaxGT

acc permit ip 192.168.1.1 /32 192.168.1.100/32

наверное все-таки 192.168.2.1

Суть правила static (out,in) 192.168.1.2 acc говорит о том, что если пакет с out на in интерфейс, согласно ACL permit ip 192.168.2.1 /32 192.168.1.100/32 проходит, то его надо занатить в 192.168.1.2

я правильно понимаю?

@MonaxGT · 01.08.2014, 08:49

LinboG, да 2.1. Выше описал правильно, а в acl промахнулся.

@huloi7 · 03.08.2014, 22:31 **[ТС]**

спасибо, классно объяснили суть правила static nat.
прописал:
access-list vpn extended permit ip host 192.168.2.1 host 192.168.1.35
static (outside,inside) 192.168.1.101 access-list vpn

привожу на всякий случай настройки group-policy:
group-policy vpgroup internal
group-policy vpgroup attributes
dns-server value 77.37.251.33
vpn-tunnel-protocol IPSec
split-tunnel-policy excludespecified
split-tunnel-network-list value Local_LAN_Access
address-pools value vppool

ip local pool vppool 192.168.2.1-192.168.2.254 mask 255.255.255.0

настройки группы:
tunnel-group vpgroup type remote-access
tunnel-group vpgroup general-attributes
address-pool vppool
default-group-policy vpgroup
tunnel-group vpgroup ipsec-attributes
pre-shared-key *****

в результате vpn клиент получает адрес 192.168.2.1, но пингует только себя, 192.168.1.35(это адрес сервера, прописанный в acl не пингует.

Jabbson · 03.08.2014, 23:33

split-tunnel-policy excludespecified
split-tunnel-network-list value Local_LAN_Access

эксклуд. а что в листе? локальная сеть.

@MonaxGT · 03.08.2014, 23:53

huloi7, И после всего попробуйте собрать Dynamic Nat Policy, он позволит Вам не делать кучу статик правил, а сделать одно. Логика такая же, синтаксис немного другой)

@huloi7 · 04.08.2014, 22:47 **[ТС]**

в результате
всё выглядит так:
access-list Local_LAN_Access remark VPN Client Local LAN Access
access-list Local_LAN_Access standard permit 192.168.1.0 255.255.255.0

access-list vpn extended permit ip host 192.168.2.2 host 192.168.1.35
access-list vpn extended permit ip host 192.168.2.2 host 192.168.1.20
access-list vpn extended permit ip host 192.168.2.2 host 192.168.1.10

static (outside,inside) 192.168.1.101 access-list vpn

group-policy vpgroup internal
group-policy vpgroup attributes
dns-server value **.**.**.33
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Local_LAN_Access
address-pools value vppool

tunnel-group vpgroup type remote-access
tunnel-group vpgroup general-attributes
address-pool vppool
default-group-policy vpgroup
tunnel-group vpgroup ipsec-attributes
pre-shared-key *****

sh xlate
3 in use, 1054 most used
Global 192.168.1.101 Local 192.168.2.2
Global 192.168.1.101 Local 192.168.2.2
Global 192.168.1.101 Local 192.168.2.2

sh access-list
access-list Local_LAN_Access; 1 elements; name hash: 0xe1204fb
access-list Local_LAN_Access line 1 remark VPN Client Local LAN Access
access-list Local_LAN_Access line 2 standard permit 192.168.1.0 255.255.255.0 (hitcnt=0)

access-list vpn line 1 extended permit ip host 192.168.2.2 host 192.168.1.35 (hitcnt=0) 0xc94be682
access-list vpn line 2 extended permit ip host 192.168.2.2 host 192.168.1.20 (hitcnt=0) 0xdba500fa
access-list vpn line 3 extended permit ip host 192.168.2.2 host 192.168.1.10 (hitcnt=0) 0xb707c1d6

а по этим acl почему то даже нет совпадений (hitcnt=0)

есть доступ в интернет, поскольку tunnelspecified, я так понимаю это значит что отправлять в тоннель только то, что указано в acl. Excludespecified как раз и должен давать
результат - доступ в lan, поскольку означает, что не нужно запихивать в тоннель то, что указано в acl.

Добавлено через 12 минут
аААаааАаа...получилось, добавил
access-list Inside_nat0_outbound extended permit ip any 192.168.2.0 255.255.255.0
nat (inside) 0 access-list Inside_nat0_outbound
CRYPTO ISAKMP NAT-TRAVERSAL 30
split-tunnel-policy tunnelspecified

есть инет и доступ в лан, спасибо большое, высеку себе этот конфиг на табличке из камня и поставлю у монитора))

Новые блоги и статьи Все статьи Все блоги /
Тестирование Pull Request в Kubernetes с vCluster Mr. Docker 19.07.2025 Часто сталкиваюсь с серьезной дилемой при настройке тестовых окружений для проверки Pull Request в Kubernetes. С одной стороны, каждый PR требует изолированной среды — только так можно гарантировать,. . .	Мой 7 минутный ролик с крамольным предложением про шахматы, предлагаю заценить _Ivana 18.07.2025 p2UhJNMGY94	Десять Middleware Node.js для эффективного кодинга Reangularity 18.07.2025 Когда я только начинал работать с Node. js, количество пакетов в npm меня буквально парализовало. Сегодня их больше 1,3 миллиона — попробуй разберись, что стоит твоего внимания, а что нет. Я потратил. . .	Context и глубины Android mobDevWorks 18.07.2025 В Android разработки Context напоминает воздух - он везде, жизненно необходим, но мало кто может детально объяснить его природу. Мы привыкли получать его как параметр, передавать дальше и. . .	Результаты исследования от команды MCM (июль 2025 г.) Programma_Boinc 18.07.2025 Результаты исследования от команды MCM (июль 2025 г. ) Как сообщалось в наших предыдущих публикациях, мы изучаем гены, которые имеют наибольший рейтинг и ассоциируются с различными видами рака, в. . .
ИИ-чатбот на React с OpenAI и LangChain.js Reangularity 17.07.2025 React давно стал для меня золотым стандартом фронтенд-разработки. Его компонентная структура, виртуальный DOM и однонаправленный поток данных идеально подходят для создания динамичных интерфейсов. . .	Пишем адаптер для локального хранилища S3 на C# stackOverflow 16.07.2025 Разработка современных приложений часто требует интеграции с объектными хранилищами, и Amazon S3 стал де-факто стандартом в этой области. Однако работа с облачными сервисами в процессе разработки. . .	Старые замки kumehtar 16.07.2025 Смотрел тут фото, попались пара старых замков. И сразу бросилось в глаза из отличие. Например: Замок Бистон, в англии. Разрушенное сооружение. Но - не испорченное людьми, по крайней мере - на. . .	Java и Eclipse Store: Сверхбыстрые приложения с In-Memory DB Javaican 15.07.2025 Eclipse Store — это микро-движок персистентности для Java, который позволяет хранить и извлекать нативные Java-объекты без необходимости преобразования данных или использования объектно-реляционного. . .	EmBitz, создание проекта, отладка, прошивка locm 15.07.2025 Создание проекта для Blue Pill (STM32F103C8T6) в EmBitz 2. 30, написания кода blink, запуск отладки в ОЗУ, заливка релизной прошивки во flash используя ST-Link и др. . . .

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	30.07.2014, 00:06
	huloi7, Возьмите в качестве vpn пула другую сеть, к примеру 192.168.2.0/24. Сделайте Policy NAT, что если вы запрашиваете сеть 192.168.1.0 с сорсом 192.168.2.0, то используется адрес 192.168.1.201 (к примеру). 0

@huloi7 1 / 1 / 0 Регистрация: 09.12.2012 Сообщений: 24
	30.07.2014, 20:58 [ТС]
	MonaxGT, сделал как вы сказали. Теперь nat выглядит так: global (inside) 2 192.168.1.201 netmask 255.255.255.255 global (outside) 1 interface nat (inside) 1 192.168.1.0 255.255.255.0 nat (outside) 2 192.168.2.0 255.255.255.0 outside в результате vpn клиент получает ip 192.168.2.1, пингует 192.168.1.1, но больше ничего из этой подсети не пингует и по ssh на 192.168.1.1 зайти тоже почему-то не может 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	30.07.2014, 22:04
	huloi7, Я говорил про static policy nat, а не про классический. Попробуйте его 0

@huloi7 1 / 1 / 0 Регистрация: 09.12.2012 Сообщений: 24
	31.07.2014, 00:21 [ТС]
	я, наверно, снова сделал что-то не так. Хотел добавить строку static (outside,inside) 192.168.1.201 192.168.2.1 netmask 255.255.255.0, он говорит "global address overlaps with mask". Возможно я не правильно понимаю это правило static (real_interface,mapped_interface) {mapped_ip \| interface} real_ip [netmask mask] real_interface - интерфейс, из которого мы хотим сделать nat, mapped_interface где хотим оказаться. Я здесь представляю себе пакеты, приходящие из интерфейса outside, вроде как из интернета, поэтому outside, вот не знаю как себе по другому объяснить. По другому не знаю к чему присобачить сеть 192.168.2.0, она же не имеет отдельного интерфейса. mapped_ip - адрес назначения (192.168.1.201), real_ip - адрес источника (192.168.2.1 netmask 255.255.255.0) в результате сделал acl: access-list omt extended permit ip host 192.168.2.10 host 192.168.2.15 нарисовал вот это static (outside,inside) 192.168.1.201 access-list omt и получил как всегда кукиш. Ничего не пингуется кроме 192.168.1.1 sh xlate 1 in use, 1054 most used Global 192.168.1.201 Local 192.168.2.10 1

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	31.07.2014, 10:57
	huloi7, 1, почитайте еще раз про acl в полиси NAT. 2. Пишете ACL где указываете в source адрес с которого идете (адрес в пуле VPN), а в dest - адрес на который идете - адрес чего-либо Пишете Статик, где указываете static (outside,inside) (Адрес который будет является внешним, то есть в вашем случае адрес из сети 192.168.1.0/24) acl ACL 0

@huloi7 1 / 1 / 0 Регистрация: 09.12.2012 Сообщений: 24
	01.08.2014, 01:40 [ТС]
	сделал acl access-list VPN line 1 extended permit ip host 192.168.2.1(такой адрес получает vpn client, я смотрел в Cisco VPN Client) host 192.168.1.10 и статик нат static (outside,inside) 192.168.1.10 access-list VPN пока не получается пинговать 192.168.1.10, sh access-list показывает, что нет совпадений по этому acl: access-list VPN line 1 extended permit ip host 192.168.2.1 host 192.168.1.10 (hitcnt=0) sh xlate 1 in use, 1054 most used Global 192.168.1.10 Local 192.168.2.1 буду учить мат часть 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	01.08.2014, 01:52
	huloi7, нееееееет Смотрите, у Вас есть сервер 192.168.1.100, вы хотите с vpn 192.168.2.1 попасть на этот узел и пишите. acc permit ip 192.168.1.1 /32 192.168.1.100/32 static (out,in) 192.168.1.2 acc Красный это тот адрес, который будет иметь Ваш vpn хост, если удовлетворяет условию! Пинговаться 1.2 не будет в vpn машины, только с сервера 192.168.1.100 или наоборот. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	01.08.2014, 08:49
	LinboG, да 2.1. Выше описал правильно, а в acl промахнулся. 0

@huloi7 1 / 1 / 0 Регистрация: 09.12.2012 Сообщений: 24
	03.08.2014, 22:31 [ТС]
	спасибо, классно объяснили суть правила static nat. прописал: access-list vpn extended permit ip host 192.168.2.1 host 192.168.1.35 static (outside,inside) 192.168.1.101 access-list vpn привожу на всякий случай настройки group-policy: group-policy vpgroup internal group-policy vpgroup attributes dns-server value 77.37.251.33 vpn-tunnel-protocol IPSec split-tunnel-policy excludespecified split-tunnel-network-list value Local_LAN_Access address-pools value vppool ip local pool vppool 192.168.2.1-192.168.2.254 mask 255.255.255.0 настройки группы: tunnel-group vpgroup type remote-access tunnel-group vpgroup general-attributes address-pool vppool default-group-policy vpgroup tunnel-group vpgroup ipsec-attributes pre-shared-key ***** в результате vpn клиент получает адрес 192.168.2.1, но пингует только себя, 192.168.1.35(это адрес сервера, прописанный в acl не пингует. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	03.08.2014, 23:53
	huloi7, И после всего попробуйте собрать Dynamic Nat Policy, он позволит Вам не делать кучу статик правил, а сделать одно. Логика такая же, синтаксис немного другой) 0

Опции темы

@huloi7 1 / 1 / 0 Регистрация: 09.12.2012 Сообщений: 24
	04.08.2014, 22:47 [ТС]
	в результате всё выглядит так: access-list Local_LAN_Access remark VPN Client Local LAN Access access-list Local_LAN_Access standard permit 192.168.1.0 255.255.255.0 access-list vpn extended permit ip host 192.168.2.2 host 192.168.1.35 access-list vpn extended permit ip host 192.168.2.2 host 192.168.1.20 access-list vpn extended permit ip host 192.168.2.2 host 192.168.1.10 static (outside,inside) 192.168.1.101 access-list vpn group-policy vpgroup internal group-policy vpgroup attributes dns-server value ...33 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value Local_LAN_Access address-pools value vppool tunnel-group vpgroup type remote-access tunnel-group vpgroup general-attributes address-pool vppool default-group-policy vpgroup tunnel-group vpgroup ipsec-attributes pre-shared-key *** sh xlate 3 in use, 1054 most used Global 192.168.1.101 Local 192.168.2.2 Global 192.168.1.101 Local 192.168.2.2 Global 192.168.1.101 Local 192.168.2.2 sh access-list access-list Local_LAN_Access; 1 elements; name hash: 0xe1204fb access-list Local_LAN_Access line 1 remark VPN Client Local LAN Access access-list Local_LAN_Access line 2 standard permit 192.168.1.0 255.255.255.0 (hitcnt=0) access-list vpn line 1 extended permit ip host 192.168.2.2 host 192.168.1.35 (hitcnt=0) 0xc94be682 access-list vpn line 2 extended permit ip host 192.168.2.2 host 192.168.1.20 (hitcnt=0) 0xdba500fa access-list vpn line 3 extended permit ip host 192.168.2.2 host 192.168.1.10 (hitcnt=0) 0xb707c1d6 а по этим acl почему то даже нет совпадений (hitcnt=0) есть доступ в интернет, поскольку tunnelspecified, я так понимаю это значит что отправлять в тоннель только то, что указано в acl. Excludespecified как раз и должен давать результат - доступ в lan, поскольку означает, что не нужно запихивать в тоннель то, что указано в acl. Добавлено через 12 минут аААаааАаа...получилось, добавил access-list Inside_nat0_outbound extended permit ip any 192.168.2.0 255.255.255.0 nat (inside) 0 access-list Inside_nat0_outbound CRYPTO ISAKMP NAT-TRAVERSAL 30 split-tunnel-policy tunnelspecified есть инет и доступ в лан, спасибо большое, высеку себе этот конфиг на табличке из камня и поставлю у монитора)) 0